CronRat es un nuevo troyano de Linux que se esconde en las tareas programadas. Por supuesto, la fecha de ejecución del 31 de febrero no es válida, pero muchos programas de seguridad no la detectan.
Los investigadores del especialista en seguridad de comercio electrónico Sansec han descubierto un nuevo troyano de acceso remoto (RAT) de Linux que ha encontrado una forma inusual de ocultarse de la mayoría de las aplicaciones de seguridad en los servidores afectados. CronRAT, como lo llaman los investigadores de seguridad, se disfraza como una tarea programada con una fecha de ejecución del 31 de febrero. Dado que esta fecha, por supuesto, no es válida y no existe, el malware logra evadir la atención de la mayoría de los programas antivirus.
CronRat: troyano de acceso remoto
Los investigadores de seguridad observaron más de cerca cómo funciona CronRAT. El resultado muestra que el troyano explota la herramienta cron de los servidores Linux. Los administradores de red pueden usarlo para programar tareas en momentos específicos, que luego se llevan a cabo automáticamente. Esta herramienta reside en el subsistema de calendario de Linux. Dado que el día en el que se debe ejecutar CronRAT no existe, el evento tampoco está visible en el calendario para el administrador. Dado que la mayoría de los programas de seguridad tampoco analizan el sistema cron, el troyano es prácticamente invisible. Con Sansec, también, el motor de detección tuvo que ser reescrito antes de poder detectar el troyano.
CronRat - Invisiblemente oculto en el calendario
Una vez en el servidor, el malware se pone en contacto con un servidor de comando y control utilizando una "característica exótica del kernel de Linux que permite la comunicación TCP a través de un archivo", explican los investigadores de Sansec. En el segundo paso, el troyano envía y recibe múltiples comandos y recupera una biblioteca dinámica maliciosa. Al final de este intercambio, los atacantes detrás de CronRAT pueden ejecutar cualquier comando en el sistema comprometido.
CronRAT es solo uno de los muchos ejemplos de la creciente amenaza de los llamados ataques Magecart. Las tiendas online son manipuladas para robar los datos de pago de los clientes. CronRAT también se ha descubierto en varias tiendas en todo el mundo, y está lejos de ser el único que intenta comprometer las tiendas en línea legítimas de esta manera. El FBI publicó una advertencia sobre los ataques de Magecart el año pasado, que ahora ha sido repetida por el Centro Nacional de Seguridad Cibernética estadounidense (NCSC). En el período previo al Black Friday, los expertos en seguridad encontraron 4.151 minoristas cuyos servidores y páginas de pago habían sido comprometidos por piratas informáticos en los últimos 18 meses.
Los ataques de Magecart apuntan a las tiendas en línea
Aunque el Black Friday ya terminó este año, la amenaza de los ataques de Magecart no va a disminuir en el futuro. En particular, el creciente número de casos de infecciones de Covid y la próxima Navidad deberían garantizar que el comercio en línea continúe creciendo en las próximas semanas y meses, y con él, la cantidad de objetivos potenciales para los ataques de Magecart. La protección contra malware altamente especializado como CronRAT en particular es difícil porque las soluciones técnicas no son suficientes aquí. En el servicio de análisis VirusTotal, 12 motores antivirus no pudieron procesar el troyano y 58 de ellos no lo reconocieron como una amenaza. Por lo tanto, se deben realizar escaneos regulares de todo el sistema en busca de irregularidades, sin importar cuán insignificantes puedan parecer.
Más en 8com.de
Acerca de 8com El Centro de Ciberdefensa de 8com protege eficazmente las infraestructuras digitales de los clientes de 8com contra los ataques cibernéticos. Incluye gestión de eventos e información de seguridad (SIEM), gestión de vulnerabilidades y pruebas de penetración profesionales. Además, ofrece el desarrollo e integración de un Sistema de Gestión de Seguridad de la Información (SGSI) incluyendo la certificación según estándares comunes. Medidas de sensibilización, formación en seguridad y gestión de respuesta a incidentes completan la oferta.